[翻译]oledump: Extracting Embedded EXE From DOC

原文地址： http://blog.didierstevens.com/2014/12/23/oledump-extracting-embedded-exe-from-doc/
RECHNUNG_vom_18122014.doc https://www.virustotal.com/en/file/d3672a6b3bc839d76b1d4c2e98ab8c3ef84cb9e928fc3cadad3f4144aa5f8e29/analysis/是一个含有恶意VBA宏用来提取创建一个exe的word文档。本文主要用来介绍oledump如何工作
首先看一下数据流(我把word文档使用密码加密zip，用来绕过AV，oledump可以处理这类文件)

Stream 7含有VBA宏，来查看一下：

当文档打开的时候，Subroutine v45自动执行。它会创建一个临时文件，搜索word文件中ActiveDocument.Range.Text里面的"1234"，然后把1234后面的加密bytes写到磁盘，然后执行。
如果查看stream 14来检查内容，将会看到：

1234后面将会看到&H4d&H5a&h90…
&Hxx是VBA中十六进制的语法。我们可以使用解码器进行转换。解码器(python)使用正则搜索&Hxx，把xx转换成字符把他们连接成字符串。

#!/usr/bin/env python

__description__ = '&H decoder for oledump.py'
__author__ = 'Didier Stevens'
__version__ = '0.0.1'
__date__ = '2014/12/19'

"""

Source code put in public domain by Didier Stevens, no Copyright

https://DidierStevens.com

Use at your own risk

History:
  2014/12/19: start

Todo:
"""

import re

class cAmpersandHexDecoder(cDecoderParent):
    name = '&H decoder'

    def __init__(self, stream, options):
        self.stream = stream
        self.options = options
        self.done = False

    def Available(self):
        return not self.done

    def Decode(self):
        decoded = ''.join([chr(int(s[2:], 16)) for s in re.compile('&H[0-9a-f]{2}', re.IGNORECASE).findall(self.stream)])
        self.name = '&H decoder'
        self.done = True
        return decoded

    def Name(self):
        return self.name

AddDecoder(cAmpersandHexDecoder)

使用下面的命令来调用解码器分析嵌入的文件：

引用

oledump.py -s 14 -D decoder_ah.py RECHNUNG_vom_18122014.doc.zip

根据MZ和PE头，可以识别它是一个PE文件，我们可以使用pecheck来检查

引用

oledump.py -s 14 -D decoder_ah.py -d RECHNUNG_vom_18122014.doc.zip | pecheck.py

pecheck介绍： http://blog.didierstevens.com/2013/04/19/3462/
下载地址： http://didierstevens.com/files/software/pecheck_v0_3_0.zip